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(57) Abstract 

The invention concerns a 
method for data secuiement using 
a cryptographic algorithm com- 
prising at least a cycle executing 
repetitive operations of processing 
data elements (K2, Rl) to pro- 
duce encrypted information (C), 
said method comprising at least a 
step (120, 220) randomly modify- 
ing the execution of at least one 
operation from one cycle to the 
next or at least one of the data el- 
ements such that the encrypted in- 
formation is unaltered by said ran- 
dom modification. 

(57) Abreg£ 

L' invention ' conceme 
un proc6d6 de securisation de 
donnees mettant en oeuvre un 
algorithme cryptographique 
comprenant au moins un 
cycle d'execution d'operations 
r6p6titives de traitement 
d'616ments de donnees (K2, Rl) 
pour ^laborer une information 
chiffree (C), ce precede" . 

comprenant au moins une etape (120, 220) de modification aleatoire de Texecution d'au moms une operation d un cycle a un autre ou 
d'au moins un des elements de donnees de telle sorte que rinformation chiffree soit inchangee par cette modificiation aleatoire. 




lQwMESSAGE BLOCK M PERMUTATION *M0 
30-EXPANSION Of BLOCK M2«*M3 
1 10-KI KEY BTTS PERMUTATION* K2 KEY 
I2OJUND0M TRANSFORMATION OF K2 KEY BITS: 
K2KEV 
K3KEY 

130„K3 KEY BITS ROTATION -*K4KEY 
t«-K4 KEY BITS PERMUTATION *K5 KEY 
210-M3 XOR ICS KEY* BLOCK Rl 
ZKLJNVERSE TRANSFORM OF Rl BLOCK BITS 

CORRESPONDING TO ICS KEY BITS * ♦ BLOCK R2 
230 .DIVISION AND TREATMENT OF R2 BLOCKERS BLOCK 
240.PERMUTATION OF R3 BLOCK BtTS^BLOCK M 
250_J14 XOR Ml * BLOCK RS _ 
300LJNVERSE PERMUTATION ANO M2 BLOCK AND RS BLOCK 
JOIN * BLOCK C 



UNIQUEMENT A TITRE D'INFORMATION 



Codes utilises pour identifier les Etats parties au PCT, sur les pages de couverture des brochures publiant des demandes 
intemationales en vertu du PCT. 



AL 


Albanie 


AM 


Arroenie 


AT 


Autriche 


AU 


Austral ie 


AZ 


Azerbaldjan 


BA 


Bosnie-Herzegovine 


BB 


Barbade 


BE 


Belgique 


BF 


Burkina Faso 


BG 


Bulgarie 


BJ 


Benin 


BR 


Br&il 


BY 


Belarus 


CA 




CF 


Republique centrafricaine 


CG 


Congo 


CH 


Suisse 


a 


Cote d'lvoire 


CM 


Camcroun 


CN 


Chine 


CU 


Cuba 


CZ 


Republique tcheque 


DE 


AUemagne 


DK 


Danemark 


EE 


Estonie 



ES 


Espagnc 


FI 


Fmlande 


FR 


France 


GA 


Gabon 


GB 


Royaumc-Uni 


GE 


Georgie 


GH 


Ghana 


GN 


Gumee 


GR 


Grece 


HU 


Hongrie 


IE 


Irlande 


IL 


Isra&l 


IS 


Islande 


IT 


Italic 


JP 


Japon 


KE 


Kenya 


KG 


Kirghizistan 


KP 


Republique populaire 




deraocratique de Corec 


KR 


Republique de Coree 


KZ 


Kazakstan 


LC 


Sainte-Lucie 


U 


Liechtenstein 


LK 


Sri Lanka 


LR 


Liberia 



LS 


Lesotho 


LT 


Lituanie 


LU 


Luxembourg 


LV 


Lettonie 


MC 


Monaco 


MD 


Republique de Moldova 


MG 


Madagascar 


MK 


Ex-R6publkjue yougoslave 




de MaceMome 


ML 


Mali 


MN 


Mongolte 


MR 


Mauritanie 


MW 


Malawi 


MX 


Mexique 


NE 


Niger 


NL 


Pays-Bas 


NO 


Norvege 


NZ 


Nouvelle-Ze*lande . 


PL 


Pologne 


FT 


Portugal 


RO 


Roumanie 


RU 


Federation de Russie 


SD 


Soudan 


SE 


Suede 


SG 


Singapour 



SI 


Slovente 


SK 


Slovaquie 


SN 


SenCgal 


SZ 


Swaziland 


TD 


Tchad 


TG 


Togo 


TJ 


Tadjikistan 


TM 


Turkmenistan 


TR 


Turquic 


TT 


Trinite-et-Tobago 


UA 


Ukraine 


UG 


Ouganda 


US 


Btats-Unis d'Amerique 


UZ 


Ouzbdkistan 


VN 


Viet Nam 


YU 


Yougoslavie 


ZW 


Zimbabwe 



WO 99/48239 v.- v.) | WA) PCT/FR99/00613 

PROCEDE DE SECURISATION DE DONNEES METTANT EN OEUVRE UN 
ALGORITHME CRYPTOGRAPHIQUE 



5 La presente invention conceme un procede de securisation de donnees, 

destine par exemple a etre mis en oeuvre par le microprocesseur d'une carte bancaire ou 
une carte d'autorisation d'acces lors d'une connexion a un terminal informatique 
d'authentification. 

Les procedes de securisation de donnees de type connu mettent en 
10 oeuvre un algorithme cryptographique comprenant des cycles d'execution d'operations 
repetitives de traitement d'elements de donnees contenus dans une memoire de la carte 
pour elaborer une information chiffree destinee k etre communiquee au terminal 
informatique. 

L'execution du procede par ie microprocesseur de la carte engendre 
is remission de signaux derives tels que des pics de consommation au niveau de 
l'alimentation electrique du microprocesseur, ou des variations du rayonnement 
electromagnetique de sorte que l'enveloppe du rayonnement electromagnetique est 
significative des donnees trait£es. Un fraudeur desirant utiliser de fa?on non autorisee 
les cartes a microprocesseur peut lancer a plusieurs reprises l'execution du procede et 
, 20 analyser les signaux derives emis pour etablir des correspondances entre les differentes 
operations de traitement et chaque signal ou serie de signaux. A partir de ces 
correspondances, et en soumettant par exemple la carte a des perturbations electroma- 
gnetiques ou des baisses de tension a des instants precis du deroulement de 
Talgorithme, le fraudeur peut etudier Tinformation chiffree obtenue et les differences, 
25 ou au contraire Tabsence de differences, entre les signaux derives emis pour decouvrir 
les donnees contenues dans la memoire de la carte. 

Pour compliquer une telle analyse des signaux derives, on a pense a 
engendrer des signaux parasites venant s ! ajouter aux signaux derives emis lors de 
l'execution du procede, L'extraction des signaux correspondant a Pexecution du procede 
30 est alors plus delicate mais demeure possible. On a egalement pense a concevoir les 
composants electroniques de la carte et le programme d'execution du procede de sorte 
que les signaux derives emis soient independants de la valeur des donnees sensibles. 
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Toutefois, ceci complique la realisation des cartes sans assurer une protection 
satisfaisante des donnees. 

Un but de 1'invention est de proposer un proced£ de securisation efficace 
ne presentant pas les inconvenients precites. 
5 En vue de la realisation de ce but, on prevoit, selon I'invemion, un 

precede de securisation de donnees mettant en oeuvre un algorithme cryptographique 
d'execution ^operations de traitement d'61ements de donnees pour elaborer une 
information chiffree, ce precede comprenant au moins une etape de transformation 
aleatoire de l'execution d'au moins une operation d'un cycle a un autre ou de 

10 transformation aleatoire d'au moins un des elements de donnees de telle sorte que 
rinformation chiffree soit inchangee par cette transformation aleatoire. 

Par transformation aleatoire de l'execution d'au moins une operation, on 
entend une modification de 1'ordre d'execution ^operations ou de parties d'operations, 
ou une modification du deroulement d'une seule operation, Ainsi, au moins une 

is operation et/ou au moins une des donnees traitees sont modifiees aleatoirement ce qui 
affecte de fa<?on aleatoire les signaux derives emis. II est de ce fait tres difficile pour un 
fraudeur de distinguer les differentes operations de traitement et de decouvrir les 
donnees a partir des signaux derives. En outre, la modification aleatoire n'affecte pas 
rinfonnation chiffrde de sorte que celle-ci peut etre utilisee de fa9on habituelle apres 

20 son elaboration, 

D'autres caracteristiques et ayantages de Tinvention apparaitront a la 
lecture de la description qui suit d'un mode de mise en oeuvre particulier non limitatif 
de lluvention, en relation avec la figure unique annexee illustrant sous forme d'un 
schema par blocs le deroulement du procede selon ce mode de mise en oeuvre. 

25 Le procede de securisation selon Tinvention est ici decrit mettant en 

oeuiro on algorithme cryptographique symetrique de type DES (abreviation des termes 
DAIA ENCRYPTION STANDARD) en vue d'dlaborer une information chiffree C de 
64fciasapartir d'un bloc message M et d ! une cle secrete Kl eux-memes de 64 bits. 

Le procede debute par la permutation 10 des bits du bloc message M 

3 o enrre csnx pour former le bloc MO. 

Le bloc MO est alors divise en deux blocs Ml et M2 de 32 bits lors 
d'mzeeoape de division 20. 



WO 99/48239 



3 



PCT/FR99/00613 



II est ensuite procede a 1'expansion 30 du bloc M2 pour former un bloc 
M3 de 48 bits. Cette expansion 30 est par exemple realisee en decoupant le bloc M2 en 
huit quartets et en ajoutant a chaque quartet le bit extreme adjacent des quartets 
encadrant le quartet conceme (les quartets extremes etant consideres comme 
adjacentes). 

Parallelement a ces operations, une permutation 1 10 est effectuee sur les 
bits de la cle Kl pour former la cle K2. Les bits non significatifs de la cle Kl sont 
simultanement supprimes de sorte que la cle K2 a seulement 56 bits. 

Selon Tinvention, les bits de la cte K2 sont alors modifies aleatoirement 
lors d'une transformation 120. Les bits de la cl£ K3 correspondant aux bits modifies de 
la cle K2, ici marques par une etoile, sont memorises. La transformation aleatoire 120 
est par exemple realisee en associant a la cle K2, par l'intermediaire d'un operateur 
logique de type OU exclusif, un nombre al&toire engendre par un generateur de 
nombres non predictibles de la carte. 

Une c!6 K4 est obtenue par la rotation 130 des bits de la cle K3. Puis, 
une permutation 140 est r&liste sur les bits de la cle K4 pour former la cle K5. 
Simultanement a la permutation 140, les bits non significatifs de la cle K4 sont 
elimines de sorte que la cle K5 comporte 48 bits. 

Le procede se poursuit par Tassociation 210 du bloc M3 et de la cle K5 
o par l'intermediaire dun operateur logique de type OU exclusif. Le resultat de cette 
association est le bloc Rl . 

La transformation inverse des bits du bloc Rl correspondant aux bits 
modifies par la transformation 120 est ensuite realisee pour former le bloc R2. Cette 
transformation 220 inverse de la transformation 120 vise a remettre les bits du bloc Rl 
5 correspondant aux bits marques d'une etoile dans l'&at dans lequel ils auraient ete en 
Tabsence de la transformation 120. 

II est ensuite procede, de fa$on classique, a la division et au traitement 
230 du bloc R2, a la permutation 240 des bits du bloc R3 formes lors de l'etape 230, et 
a l'association 250 du bloc R4 resultat de Tetape 240 au bloc Ml par un operateur OU 
o exclusif pour former le bloc R5. 

Le groupe d'operations, designe de maniere generale par la reference 
270. est ensuite execute a nouveau a quinze reprises en affectant, k chacune de celles-ci, 
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la valeur du bloc Ml au bloc M2 et la valeur du bloc R5 au bloc Ml lors d'une etape 
d'affectation 260. 

Le precede se tennine par Toperation 300 d'obtention de rinformation 
chiffree C par la permutation inverse et la reunion du bloc dernier M2 et du bloc 
dernier R5 obtenus. 

On comprend que i'etape de modification aleatoire de la cle K2 
comprend la phase de transformation 120 et la phase de transformation inverse 220. 
Ces deux phases permettent d ! obtenir une information chiffree C qui n'est pas affectee 
par cette modification aleatoire. 

On pourrait egalement reaiiser de la meme maniere une modification 
aleatoire du bloc M2 et/ou d'une autre donnee. 

Selon un autre mode de mise en oeuvre de 1'invention, lequel peut etre 
associe a une etape de modification telle que precedemment decrite, l'execution d'au 
moins une operation peut etre modiftee de fa9on aleatoire d'un cycle a l'autre, un cycle 
pouvant etre un cycle complet d'execution de l'algorithme ou un cycle intermediaire 
d'execution d'un groupe d'operations. 

Par exemple, une determination aldatoire de 1'ordre d'execution de 
certaines operations peut etre realisee au cours d'un cycle d'execution de l'algorithme. 
Les operations retenues seront celles dont Tordre d'execution les unes par rapport aux 
autres n'influent pas stir le resultat Pour reaiiser cette determination, on pourra prevoir 
a la fin des operations choisies un saut conditionnel vers certaines operations en 
fonction de la valeur d'un nombre aleatoire ou d^finir un tableau des adresses des 
differentes operations parcouru de fa9on aleatoire. 

A titre d'exemple, la permutation 10 des bits du bloc message M 
pourrait etre effectuee apres la permutation 1 10 des bits de la cle Kl ou inversement 

De meme, il pourrait etre prevu une determination aleatoire de 1'ordre 
d'execution des operations du groupe 270 pour chaque cycle intermediaire d'execution 
de celles-ci (16 cycles interm&liaires d'execution de ces operations pour un cycle 
complet d'execution de ralgorithme). Lk encore, 1'ordre d'execution de ces operations 
sera choisi pour ne pas influer sur le r6sultat. 

Par ailleurs, pour certaines operations, les donnees sont traitees par 
elements. Ainsi, lors de l'expansion 30, les blocs M2 sont traites par quartets. Lors de 
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cette operation, on peut prevoir de detenniner aleatoirement 1'ordre de traitement des 
differents quartets. De meme, iors de la permutation 140 les bits de la cle K4 sont 
traites individuellement. Une etape de determinadon aleatoire de Fordre de traitement 
des bits peut egalement etre prevue pour l'execution de cette permutation. Les quartets 
s du bloc M2 peuvent egalement etre traites en altemance avec les bits de la cle K4 ? c'est- 
a-dire que Ton traite par exernple un premier quartet du bloc M2 puis une serie de bits 
de la cle K4, puis un deuxieme quartet du bloc M2 etc., en memorisant a chaque fois 
les elements de donnee traites afin de controler que toutes les operations requises sont 
' bien executees. 

10 Bien entendu, l'invention n'est pas iimitee au mode de realisation qui 

vient d'etre decrit, mais englobe au contraire toute variante reprenant, avec des moyens 
equivalents, ses caracteristiques essentielles. 

En particulier, bien que invention ait ete decrite en relation avec un 
algorithme de type DES, l'invention peut etre appliquee a d'autres algorithmes 
xs symetriques qui precedent- par modification de bits. Ainsi, la modification etant 
effectuee au moyen d'un operateur logique du type OU EXCLUSIF, la longueur des 
Elements de donnees non transformes est identique a la longueur de ces elements de 
donnees transformes. 

De plus, les nombres de bits des donnees ne sont mentionnes qu f a titre 
2 o indicatif et peuvent etre modifies pour etre adaptes au degre de steurisation envisage. 

On notera par ailieurs que tous les elements de donnees M, MO, Ml, 
M2, M3, Kl, K2, K3, K4, K5, Rl, R2, R3, R4 et R5 peuvent etre transformes en leur 
associant, par rintermediaire de Top^rateur logique OU EXCLUSIF, un nombre 
aleatoire sachant que, posterieurement a cette etape de transformation aleatoire, on 
25 procedera a une etape de transformation inverse de sorte que rinformation chiffree C 
soit inchangee par lesdites transformations. 

En particulier, les Elements de donnees peuvent etre des cles Kl, K2, 
K3, K4, K5 ou des blocs de message M, MO, Ml, M2, M3 ou des blocs de messages 
associes a une cle par un operateur logique du type OU EXCLUSIF Rl, R2 ? R3, R4, 
30 R5. 

On notera enfin que, si l'6tape de transformation aleatoire est une etape 
prealable au groupe d'operations execute a plusieurs reprises et si Tetape de 
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transformation inverse est une etape posterieure audit groupe d' operations, il sxiffit de 
gen&er un nombre aleatoire une fois et de traiter le bloc de message M par Falgorithme 
pour obtenir une information chiffree, tous les elements de donnees du bloc etant 
modifies. La chaine des donnees est protegee de bout en bout En outre, en ne 
5 multipliant pas les etapes de transformation et le nombre de nombres aleatoires 
generes, Talgorithme est mis en oeuvre rapidement, ce qui est necessaire dans le cas 
d'une carte a puce ou la duree de Texecution d'un algorithme doit etre minimale. 
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REVENDICATIONS 

1. Procede de securisation de donnees (M) mettant en oeuvre. dans un 
microprocesseur d'une carte a puce, un algorithme cryptographique d'execution 
d'operations de traitement d'elements de donntes (M, MO, Ml, M2, M3, Kl, K2, K3, 

5 K4. K5, Rl, R2, R3, R4, R5) pour elaborer une information chififree (C), caracterise en 
ce qu'il comprend au moins, d'une part, une etape de transformation (120) aleatoire de 
bits d'au moins un des elements de donnees (K2) en associant audit element de donnees 
(K2), par I'intermediaire d'un operateur logique du type OU EXCLUSIF, un nombre 
aleatoire, et, d'autre part, posterieurement a cette etape de transformation aleatoire. une 
10 etape de transformation inverse (220), de telle sorte que rinformation chiffree (C) soit 
inchangee par ces etapes de transformation (120, 220). 

2. Procede de securisation selon la revendication 1, caracterise en ce qu'un 
element de donnees transforme de maniere aleatoire est une cle (Kl, K2, K3, K4, K5). 

3. Procede de securisation selon Tune des revendications 1 ou 2, caracterise en ce 
is qu'un element de donnes transforme de maniere aleatoire est un bloc de message (M, 

M0,M1,M2,M3). 

4. Precede de securisation selon Tune des revendications 1, 2 ou 3, caracterise en 
ce qu'un element de donnees transforme de maniere aleatoire est un bloc de message 
associe a une cle par un operateur logique du type OU EXCLUSIF (Rl, R2, R3, R4, 

20. R5). 

5. Procede de securisation selon Tune des revendications precedentes, caracterise 
en ce que 1'algorithme cryptographique d'execution d ! operations de traitement de 
donnees (M, M0, Ml, M2, M3, Kl, K2, K3, K4, K5, Rl, R2, R3, R4, R5) comprend 
un groupe d'operations (270) execute a plusieurs reprises. 

25 6. Proc6de de securisation selon la revendication 5, caracterise en ce que l'etape 

de transformation aleatoire est une etape prealable au groupe d'operations (270) execute 
4 plusaeurs reprises et en ce que Tetape de transformation inverse est une etape 
posterieure audit groupe d'operations (270). 

7. Procede de securisation selon Tune des revendications precedentes, caracterise 
30 en ce <qpfil comprend en outre une etape de modification aleatoire de l'ordre d'execution 
des operations du groupe d'operations (270). 

L Procede de securisation selon Tune des revendications precedentes, caracterise 
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en ce que 1'algorithme cryptographique est du type DATA ENCRYPTION 
STANDARD. 
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Box PCT 

Washington, D.C.20231 
ETATS-UNIS D'AMERIQUE 

en sa qualite d'office elu 



Reference du dossier du deposant ou du mandataire 
76-0481 



Date du depot international (jour/mois/annee) 
17 mars 1999(17.03.99) 



Date de priorrte (jour/mois/annee) 

17 mars 1998(17.03.98) 



Deposant 

SALLE, Patrick 



1. L'office designe est avise de son election qui a ete faite: 

d _^ ns la demande d'examen preliminaire international presentee a I'administration chargee de I'examen preliminaire 

02 septembre 1999 (02.09.99) 



international le: 



I I dans une declaration visant une election ulterieure deposee aupres du Bureau international le: 



2. L'election 



a ete faite 



GO 

| | n'a pas ete faite 



avant I'expiration d'un delai de 19 mots a compter de la date de priorite ou, lorsque la regie 32 s'applique, dans le defai vise 
a la regie 32.2b). 



Bureau international de I'OMPI 
34, chemin des Colombettes 
1211 Geneve 20, Suisse 



no de telecopieur: (41-22) 740.14.35 



Fonctionnaire autorise 

Kiwa Mpay 

no de telephone: (41-22)338.83.38 



Formulaire PCT/IB/331 (juillet 1 992) 



2880862 



TRAITE DE 



ERATION EN MATIERE DE B 

PCT 



^ETS 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

76-0481 


POUR SUITE voir la notification de transmission du rapport de recherche internationale 
(formulaire PCT/ISA/220) et, le cas echeant, le point 5 ci-apres 

A DONNER 


Demande internationale n° 

PCT/FR 99/00613 


Date du depot internationalC/oiir/rno/s/annee^ 

17/03/1999 


(Date de priorite (la plus ancienne) 
(jour/mois/ann&e) 

17/03/1998 


Deposant 

SCHLUMBERGER SYSTEMES et al . 



Le present rapport de recherche internationale, etabli par ('administration chargee de la recherche internationale, est transmis au 
deposant conformement a Tarticle 1 8. Une copie en est transmise au Bureau international. 

Ce rapport de recherche internationale comprend 2 feu ill es. 

[X] II est aussi accompagne d'une copie de chaque document relatif a I'etat de la technique qui y est cite. 



1. Base du rapport 

a. En ce qui concerne la langue, la recherche internationale a ete effectuee sur la base de la demande internationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 



□ 



la recherche internationale a ete effectuee sur la base d'une traduction de la demande internationale remise a ('administration. 



b. En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande internationale (le cas echeant) 
la recherche internationale a ete effectuee sur la base du listage des sequences : 
| | contenu dans la demande internationale, sous forme ecrite. 

depos6e avec la demande internationale, sous forme dechiffrable par ordinateur. 

rem is ulterieurement a ('administration, sous forme 6crite. 

remis ulterieurement a ('administration, sous forme dechiffrable par ordinateur. 



□ 
□ 
□ 
□ 

□ 



□ 
□ 



La declaration, selon laquelle le listage des sequences presente par echt et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presents par ecrit, a ete fournie. 

II a ete estime que certaines revendications ne pouvaient pas faire I'objet d'une recherche (voir le cadre I). 
II y a absence d unite de ('invention (voir le cadre II). 



4. En ce qui concerne le titre, 

[X] le texte est approuve tel qu'il a ete remis par le deposant. 

| | Le texte a ete etabli par ('administration et a la teneur suivante: 



En ce qui concerne I'abrege, 

le texte est approuve tel qu'il a ete remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par Tad ministration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a Tad ministration dans un deiai d'un mois a compter de la date d'expedition du present rapport 
de recherche internationale. 

La figure des dessins a publier avec I'abrege est la Figure n° 1 



[3T| suggeree par le deposant. Aucune des figures 

□ . . , t , n,est & publier. 
parce que le deposant n'a pas suggere de figure. 

| | parce que cette figure caracterise mieux invention. 



Formulaire PCT/1SA/210 (premiere feuille) (juillet 1998) 



RAPPORT DE RECHERCHE INTERNATIONALE 



de Internationale No 

FR 99/00613 



A. CLASSEMENT DE L OBJET DE LA DEMANDE 

CIB 6 H04L9/06 H04L9/30 



Selon la classification international© des brevets (CIB) ou a la fois selon la classification nationals et la CIB 



B. DOMAINES SUR LESQUELS LA RECHERCHE A PORTE 



Documentation minimale consultee (systeme de classification suivi des symboles de classement) 

CIB 6 H04L 



Documentation consults© autre que la documentation minimale dans la mesure ou ces documents relevent des domaines sur lesquels a porte la recherche 



Base de donnees 6lectronique consultee au cours de la recherche Internationale (nom de la base de donnees, et si realisable, termes de recherche utilises) 



C. DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie ° Identification des documents cites, avec, le cas ech^ant, I'indication des passages pertinents 



no. des revendications vis6es 



KOCHER P C: "Timing attacks on 
implementations of Diff ie-Hellman, RSA, 
DSS, and other systems" 
ADVANCES IN CRYPTOLOGY - CRYPT0'96. 16TH 
ANNUAL INTERNATIONAL CRYPTOLOGY 
CONFERENCE. PROCEEDINGS, SANTA BARBARA, 
CA, USA, 18-22 AUG. 1996, pages 104-113, 
XP000626590 

ISBN 3-540-61512-1, 1996, Berlin, Germany, 
Springer-Verl ag, Germany 
voir abrege 

voir page 111, ligne 23 - derniere ligne 
voir page 112, alinea 3 



1,5 



□ 



Voir la suite du cadre C pour la fin de la liste des documents 



□ 



Les documents de families de brevets sont indiques en annexe 



° Categories sp^ctales de documents cites: 

"A" document definissant 1'etat general de la technique, non 
conside>e comma particulierement pertinent 

"E" document anterieur, mais public a la date de d^pdt international 
ou apres cette date 

"L" document pouvant jeter un doute sur une revendication de 
priority ou cit6 pour determiner la date de publication d'une 
autre citation ou pour une raison speciale (telle qu'indiquee) 

"O" document se r6f6rant a une divulgation orale, a un usage, a 
une exposition ou tous autres moyens 

"P" document publie avant la date de depot international, mais 
posterieurement a la date de priori revendiqu£e 



document ulterieur public apres la date de d6pot international ou la 
date de priorite et nappartenenant pas a I'etat de la 
technique pertinent, mais cite pour comprendre le principe 
ou la theorie constituant la base de ^invention 



"X 



document particufierement pertinent; I'inven tion revendiqu^e ne peut 
etre conside>6e comme nouvelle ou comme impliquant une activity 
inventive par rapport au document conside>e isotement 
"Y" document particulierement pertinent; I'inven tion revendiquee 

ne peut 6tre consid6r6e comme impliquant une activite inventive 
lorsque le document est associ£ a un ou piusieurs autres 
documents de m£me nature, cette combinaison 6tant 6vidente 
pour une personne du metier 

"&" document qui fait partie de la meme famiile de brevets 



Date a laquelle la recherche internationale a et6 effectivement achev£e 



15 juin 1999 



Date d' expedition du present rapport de recherche Internationale 



21/06/1999 



Nom et adresse postale de I'administration charged de la recherche internationale 
Office European des Brevets, P. 8. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Fonctionnaire autorise 



Holper, G 



Formulaire PCT/IS A/210 (deuxidme feuilte) (juillet 1992) 



TRAITE 



OOPERATION EN MATIE 



E BREVETS 



PCT 

RAPPORT D'EXAMEN PRELIMINAIRETNT ERNATIOfOTT 

(article 36 et regie 70 du PCT) 



0 4 APR 2000 1 



Reference du dossier du deposant ou du 
mandataire 

76-0481 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande internationale n° 
PCT/FR99/00613 


Date du depot international (jour/mois/ann6&) 
17/03/1999 


Date de priority (jour/mois/ann6e) 
17/03/1998 



Classification internationale des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/06 



Deposant 

SCHLUMBERGER SY STEMES et al. 

1 . Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, esttransmis au deposant conformement a rarticle 36. 



2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revindications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
('administration chargee de I'examen preliminaire international (voir la regie 70.16 et I'instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I S Base du rapport 



II 


□ 


Priorite 


III 


□ 


Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibilite 
d'appiication industrielle 


IV 


□ 


Absence d'unite de I'invention 


V 




Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 
d'appiication industrielle; citations et explications a I'appui de cette declaration 


VI 


□ 


Certains documents cites 


VII 


is 


Irregularites dans la demande internationale 


VIII 


□ 


Observations relatives a la demande internationale 



Date de presentation de la demande d'examen preliminaire 
internationale 

02/09/1999 


Date d'achevement du present rapport 
30.03.2000 


Norn et adresse postate de ('administration chargee de 
I'examen preliminaire international: 

^ Office europeen des brevets 
D-80298 Munich 

Tel +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autoris6 ^^ss^^ 

Grimaldo, M (l /) 
N° de telephone +49 89 2399 751 3 



Formulaire PCT/I PEA/409 (feuille de couverture) (janvier 1994) 



. J 





RAPPORT D'EXAMEN 
PRELIMINAIRE INTERNATIONAL 



Demande intemationale n° PCT/FR99/0061 3 



I. Base du rapport 

1 . Ce rapport a ete redige sur la base des elements ci-apres {fes feuilles de remplacement qui ont ete remises a 
I'office recepteur en reponse a une invitation faite conformement a I'article 14 sont considerees, dans le present 
rapport, comme "initialement deposees" et ne sont pas jointes en annexe au rapport puisqu'elfes ne contiennent 
pas de modifications.) : 

Description, pages: 

1 -6 version initiale 

Revendications, N°: 

1 -8 version initiale 

Dessins, feuilles: 

1/1 version initiale 

2. Les modifications ont entraine I'annulation : 

□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

3. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 

comme allant au-dela de I'expose de I'invention tel qu'il a ete depose, comme il est indique ci-apres 
(regie 70.2(c)) : 

4. Observations complementaires, le cas echeant : 



Formulaire PCT/lPEA/409 (cadres l-VIII, feuille 1) Ganvier 1994) 



RAPPORT D' EXAM EN 
PRELIMINAIRE INTERNATIONAL 



Demande international© n° PCT/FR99/0061 3 



V. Declaration motivee selon l article 35(2) quant a la nouveaute, lactivite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 



Nouveaute 


Oui : 


Revendications 


1-8 




Non : 


Revendications 




Activite inventive 


Oui : 


Revendications 


1-8 




Non : 


Revendications 




Possibility d'application industrielle 


Oui : 


Revendications 


1-8 




Non : 


Revendications 





2. Citations et explications 
voir feuille separee 

VII. Irregularites dans la demande Internationale 

Les irregularites suivantes, concemant la forme ou le contenu de la demande intemationale, ont ete constatees : 
voir feuille separee 



Formutaire PCT/IPEA/409 (cadres I- VIII. feuille 2) Qanyier 1994) 



RAPPORT D'EXAMEN 



Demande intemationale n° PCT/FR99/0061 3 



PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Documents mentionnees 

II est fait reference au document suivant: 

D1: KOCHER P C: "Timing attacks on implementations of Diffie-Hellman, RSA, 
DSS, and other systems", ADVANCES IN CRYPTOLOGY - CRYPTO'96. 
16TH ANNUAL INTERNATIONAL CRYPTOLOGY CONFERENCE, 
PROCEEDINGS, SANTA BARBARA, CA, USA, 18-22 AUG. 1996, pages 
104-113, XP000626590 ISBN 3-540-61512-1, 1996, Berlin, Germany, 
Springer-Verlag, Germany 

V. Declaration motivee selon la regie 66.2.a)ii) quant a la nouveaute, I'activite 
inventive et la possibility d'application industrielle; citations et explications a 
I'appui de cette declaration 

1. La presente application concerne un procede (revendication 1) de securisation de 
donnees. 

L'execution d'operations avec une carte a microprocesseur comporte remission 
de signaux derives tels que des pics de consommation au niveau de I'alimentation 
electrique du microprocesseur. Un fraudeur peut analyser ces signaux pour les 
etudier et essayer de deriver les informations chiffrees dans la carte. 

La presente invention prevoit d'une part l'execution d'une transformation aleatoire 
sur au moins un des elements des donnees et d'autre part une transformation 
inverse tel que reformation chiffree finale soit inchangee par ce etapes. Ces 
transformations modifient aleatoirement les donnees, ce qui affecte de fagon 
aleatoire les signaux derives emis. II est tres difficile pour un fraudeur de 
distinguer les differentes operations de traitement et de decouvrir les donnees a 
partir des signaux derives. 

Une telle solution n'est ni divulguee ni suggeree par I'etat de la technique. 

Le document D1 considere le meme probleme de securisation de donnees dans 

une carte a puce. 



Formulaire PCT/Feuille s6par^/409 (feuille 1) (OEB-avril 1997) 



# 



RAPPORT D'EXAMEN 



Demande Internationale n° PCT/FR99/0061 3 



PRELIMINAIRE INTERNATIONAL - FEUILLE SEPAREE 



Cependant le document propose differentes techniques pour securiser les 
donnees: il propose soit une technique pour masquer le temps de duree du 
procede du microprocesseur d'une fagon fixe (page 110, dernier paragraphe) ou 
d'une fagon aleatoire (page 111, lignes 10-11) soit une technique similaire a celle 
pour masquer une signature digitale (page 111, lignes 23-43). 
Toutefois le document D1 ne mentionne pas la possibility d'utiliser une 
transformation aleatoire et sa transformation inverse comme dans la presente 
invention. 

La solution proposee dans la revendication 1 de la presente demande est done 
consideree comme nouvelle et impliquant une activite inventive (Article 33(1,2,3) 
PCT). 

Les revendications 2-8 dependent de la revendication 1 et satisfont egalement 
aux conditions requises par le PCT en ce qui concerne la nouveaute et I'activite 
inventive. 

VII. Irregularis dans la demande Internationale 

1. En vue de remplir les conditions enoncees a la Regie 5.1(a)(ii) PCT, il aurait 
appartenu au Demandeur de citer dans la description le document D1 et 
d'indiquer I'etat correspondant de la technique. 



Formulaire PCT/Feuille s<$par6e/409 (feuille 2) (OEB-avril 1997) 
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PATENT COOPERATION TR^^Y 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT 
(PCT Article 36 and Rule 70) 



Applicant's or agent's file reference^ 
76-0481 


See Notification of Transmittal of International 
FOR FURTHER ACTION Preliminary Examination Report (Form PCT/IPEA/4 1 6) 


International application No. 


International filing date {day/month/year) 


Priority date {day/month/year) 


PC17FR99/00613 


17 March 1999(17.03.99) 


17 March 1998(17.03.98) 


International Patent Classification (IPC) or national classification and IPC 




H04L 9/06 






Applicant 


SCHLUMBERGER SYSTEMES 





This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of . 



sheets, including this cover sheet. 



□ This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 
Certain defects in the international application 
Certain observations on the international application 



I 


I2SI 


II 


□ 


III 


□ 


IV 


□ 


V 


13 


VI 


□ 


VII 


13 


VIII 


□ 



Date of submission of the demand 

02 September 1999 (02.09.99) 


Date of completion of this report 

30 March 2000 (30.03.2000) 


Name and mailing address of the IPEA/EP 
Facsimile No. 


Authorized officer 
Telephone No. 



Form PCT/IPE A/409 (cover sheet) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



mational application No. 

PCT/FR99/00613 



I. Basis of the report 



i . This report has been drawn on the basis of {Replacement sheets which have been furnished to the receiving Office in response to an invitation 
under Article 14 are referred to in this report as "originally filed" and are not annexed to the report since they do not contain amendments.): 

[ | the international application as originally filed. 

the description, pages , as originally filed, 

pages , filed with the demand, 

pages , filed with the letter of 

pages , filed with the letter of — 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-8 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



the drawings, 



sheets/fig 
sheets/fig 
sheets/fig 
sheets/fig 



1/1 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



2. The amendments have resulted in the cancellation of: 

I 1 the description, pages 

I 1 the claims, Nos. 



I I the drawings, sheets/fig 



% I I This report has been established as if (some of) the amendments had not been made, since they have been considered 
i — I to g 0 beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 

4. Additional observations, if necessary: 



Form PCT/IPE A/409 (Box I) (January 1994) 



INTERNATIONAL P 
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INARY EXAMINATION REPORT 



ernational application No. 
CT/FR 99/00613 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



1 . Statement 

Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-8 



1-8 



1-8 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

Reference is made to the following document: 

Dl: KOCHER P C: "Timing attacks on implementations 
of Dif fie-Hellman, RSA, DSS and other systems", 
ADVANCES IN CRYPTOLOGY- CRYPTO ? 96 . 16 th ANNUAL 
INTERNATIONAL CRYPTOLOGY CONFERENCE, 
PROCEEDINGS, SANTA BARBARA, CA, USA, 18-22 
AUGUST 1996, pages 104-113, XP000626590 ISBN 3- 
540-61512-1, 1996, Berlin, Germany, Springer- 
Verlag, Germany 



1. The present application relates to a method (Claim 
1) for securing data. 

Executing operations with a smart card involves the 
transmission of derived signals such as consumption 
peaks of the microprocessor's power supply. A 
defrauder can analyse these signals in order to 
study them and to try to obtain information . 
encrypted in the card. 

The present invention provides for the execution of 
a random transformation of at least one of the 
elements of the data and a reverse transformation 



Form PCT/IPEA/409 (Box V) (January 1994) 



INTERNATIONAL P: 




[ARY EXAMINATION 



REPORT 




^national application No. 
*T/FR 99/00613 



such as leaving the final encrypted information 
unchanged by these steps. These transformations 
randomly modify the data, which randomly affects the 
transmitted derived signals. It is very difficult 
for a defrauder to distinguish the different 
processing operations and to discover data from 
derived signals. 

Such a solution is not disclosed or suggested by the 
prior art. 

Document Dl considers the same problem of securing 
data in a chip card. 

However, the document proposes different techniques 
for securing data: it proposes either a technique 
for hiding the process duration time of the 
microprocessor in a fixed way (page 110, final 
paragraph) or randomly (page 111, lines 10 to 11), 
or a technique similar to that for hiding a digital 
signature (page 111, lines 23 to 43) . 
However, document Dl does not mention the 
possibility of using a random transformation and its 
reverse transformation as in the present 
application . 

The solution proposed in Claim 1 of the present 
application is, therefore, considered to be novel 
and to involve an inventive step (PCT Article 33(1), 
( 2 ) and ( 3 ) ) . 

Claims 2 to 8 depend upon Claim 1 and also fulfil 
the PCT requirements relating to novelty and 
inventive step. 



Form PCT/IPEA/409 (Box V) (January 1994) 



>R£^PkNARY EXAMINATION REPORT / 



ational application No. 

INTERNATIONAL PRfHptNARY EXAMINATION REPORT fWr/FR 99/00613 



VIL Certain defects in the international application 



The following defects in the form or contents of the international application have been noted: 



1. To meet the requirements of PCT Rule 5.1(a) (ii), 

the applicant should have cited document Dl in the 
description and indicated the corresponding prior 
art . 



Form PCT/IPEA/409 (Box VII) (January 1994) 



